virus win32!!!!! Fermé

Question

Bonjour, 

j'ai un virus win 32 sur pc malgré plusieurs tentatives:
glary,
registry booster et system tweaker
et malewerebytes
pour le desactiver il resiste.
Que puis je faire hormis reformater pc.

Configuration: Windows Vista / Firefox 3.6.3

index · Answer

Salut,

Tu as quel antivirus ?

index · Answer

Ok, tu sais comment démarrer ton pc en mode sans echec ?
Si oui, commence par faire cà tu ramera plus pour le moment. Une fois que tu auras fait cà je pourrai te dire quoi faire pour enlever ton/tes virus.

cendre38 · Answer

non je ne sais pas faire pas douée désolé

index · Answer

1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.

2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.

3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.

Source https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/

cendre38 · Answer

j'ai mis pc en mode sans echec mais je n'ai plu de connection internet.
je ne sais pas si c'est normal.
j'ai réouvert pc normalement.
Que dois je faire maintenant svp

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

cendre38 · Answer

bonjour
je ne peux pas telecharger ZHPDiag
j'ai pu télécharger ZPHFix mais il ne met pas de scan
je ne comprends pas grand chose desolé de vous déranger autant

cendre38 · Answer

merci de votre patience
j'ai pu le télécharger quand meme 
je vous envoie donc le rapport merci
 http://pjjoint.malekal.com/files.php?read=d4312b9ab9151214&html=on&filtre=legitime

moment de grace · Answer

??????

zhpfix s'installe en même temps que zhpdiag

es tu sûr que tu n'as pas un raccourci sur le bureau (parchemin)

cendre38 · Answer

je me permets de vous renvoyer le message suivant car je n'ai pas de retour de votre part je pense que nos messages se sont croisés

merci de votre patience
j'ai pu le télécharger quand meme
je vous envoie donc le rapport merci
http://pjjoint.malekal.com/files.php?read=d4312b9ab9151214&html=on&filtre=legitime
_______________________________________________________

moment de grace · Answer

ok

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

__________

2)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

cendre38 · Answer

rebonjour

je ne sais pas enlever mon antivirus avast et les antispywares .

cendre38 · Answer

re
j'ai effectué le nettoyage avec ad report par contre j'ai juste enlevé avast et je ne me suis pas déconnecté d'internet sinon il arretait le nettoyage.
Apres j'ai lancé un scan
Et fais un rapport ZHPDiag je vous envoie le contre rendu
http://pjjoint.malekal.com/files.php?id=d4312b9ab911136

merci

moment de grace · Answer

tu m'as reposté le même rapport zhp que le premier

il faut faire un nouveau scan et me transmettre ce nouveau rapport

cendre38 · Answer

j'espere que cette fois ça va etre bon
j'avais oublié de l'enregistrer sous disquette
http://pjjoint.malekal.com/files.php?id=5d090c7ee2101115

merci

moment de grace · Answer

ok

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[MD5.A64DA4EF938434F19142F964296347BF] - (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe   [111928]     
M2 - MFEP: prefs.js [Yvon - 1fcs59dq.default\{C9B68337-E93A-44EA-94DC-CB300EC06444}] [] IMinent Toolbar v3.26.0 (.IMinent.)     
O4 - HKLM\..\Run: [SweetIM] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe     
O42 - Logiciel: Whitesmoke - (.Secure Digital Services.) [HKLM] -- {18BEEA50-526B-486A-A66A-BF0AB729E4CD}     
[HKCU\Software\Iminent]     
[HKLM\Software\Iminent]     
O43 - CFD: 18/03/2011 - 16:17:00 - [1906168] ----D- C:\Program Files\Iminent     
O43 - CFD: 18/03/2011 - 16:14:54 - [354712] ----D- C:\Program Files\PopCap Games     
O43 - CFD: 18/03/2011 - 16:14:50 - [192343] ----D- C:\ProgramData\PopCap Games     
O43 - CFD: 15/03/2011 - 21:36:56 - [11400] ----D- C:\Users\Yvon\AppData\Roaming\PopCapv1002     
O43 - CFD: 16/03/2011 - 12:59:36 - [12005] ----D- C:\Users\Yvon\AppData\Roaming\PopCapv1003    
C:\Program Files\PopCap Games   
M3 - MFPP: Plugins - [Yvon] -- C:\Users\Yvon\AppData\Roaming\Mozilla\Firefox\Profiles\1fcs59dq.default\searchplugins\sweetim.xml     
M2 - MFEP: prefs.js [Yvon - 1fcs59dq.default\{50bcbfa7-2a6a-41ed-9d96-34d2073a8943}] [] Oryte Games 1 Toolbar v2.7.2.0 (.Conduit Ltd..)     
M2 - MFEP: prefs.js [Yvon - 1fcs59dq.default\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.1.0.2 (.SweetIM Technologies LTD..)     
R3 - URLSearchHook: jeuxob.fr Toolbar - {f78e6501-b9de-48b9-b86c-6da8542ccc4e} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\jeuxob.fr\prxtbjeu2.dll 
R3 - URLSearchHook: Oryte Games 1.15 Toolbar - {d2f11d8b-3eb5-4b42-9511-370dbec707fb} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.1.8) -- C:\Program Files\Oryte_Games_1.15	bOry0.dll 
R3 - URLSearchHook: jeuxob.fr Toolbar - {f78e6501-b9de-48b9-b86c-6da8542ccc4e} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\jeuxob.fr\prxtbjeu2.dll 
R3 - URLSearchHook: Oryte Games 1.15 Toolbar - {d2f11d8b-3eb5-4b42-9511-370dbec707fb} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.1.8) -- C:\Program Files\Oryte_Games_1.15	bOry0.dll 
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar Helper Module.) (4, 0, 0, 4) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll 
O2 - BHO: Oryte Games 1.15 Toolbar - {d2f11d8b-3eb5-4b42-9511-370dbec707fb} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Oryte_Games_1.15	bOry0.dll 
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll 
O2 - BHO: jeuxob.fr - {f78e6501-b9de-48b9-b86c-6da8542ccc4e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\jeuxob.fr\prxtbjeu2.dll 
O3 - Toolbar: jeuxob.fr Toolbar - {f78e6501-b9de-48b9-b86c-6da8542ccc4e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\jeuxob.fr\prxtbjeu2.dll 
O3 - Toolbar: Oryte Games 1.15 Toolbar - {d2f11d8b-3eb5-4b42-9511-370dbec707fb} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Oryte_Games_1.15	bOry0.dll 
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll 
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 4.0 - (.SweetIM Technologies Ltd..) [HKLM] -- {BF67F764-95B6-4360-BB57-B2E5AA6C814B}     
O42 - Logiciel: jeuxob.fr Toolbar - (.Pas de propriétaire.) [HKLM] -- jeuxob.fr Toolbar     
[HKCU\Software\AppDataLow\Software\jeuxob.fr]     
[HKLM\Software\jeuxob.fr]     
O43 - CFD: 10/03/2011 - 10:38:12 - [11911961] ----D- C:\Program Files\jeuxob.fr    

 

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

___________

2)

redemarre le pc et dis moi si tu as encore des soucis

cendre38 · Answer

bonsoir
je bug toujours un peu je vous recontacterai lundi 
encore un grand merci pour votre patience et votre compétence ainsi qu'à votre collègue index
bon week end

moment de grace · Answer

lance MalwareByte's Anti-Malware que tu possèdes déjà

. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

cendre38 · Answer

bonjour,
je n'arrive pas à faire la mise à jour de malwarebytes. Pourtant j'ai bien la connection internet et mon pare_feu AVG  est paramétré pour.
Comment dois-je faire s'il vous plait?

moment de grace · Answer

désinstalle le et réinstalle le


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

cendre38 · Answer

bonjour
je l'ai déjà fait mais ça ne marche toujours pas.
j'ai essayé aussi de redémarrer sans echec, mais rien à faire

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien ...enregistrer la cible du lien sous ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

cendre38 · Answer

comment enlever l'antivirus et antispyware. Est-ce que je peux en avoir plusieurs
ce n'est pas moi qui est protéger mon pc à la base
Pour me déconnecter d'internet moi j'enlève la prise il y a t il une autre solution?

moment de grace · Answer

non garde internet et fais combofix en mode sans echec avec prise en charge reseau, tu n'auras plus à t'occuper de la partie protection

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

cendre38 · Answer

bonjour
mon pc bloque plus que jamais et ce matin en l'ouvrant j'ai eu un cheval de troie,
mon pc l'a mis en quarantaine. 
hier pour lancer combix je n'ai pas pu me mettre en sans echec car avg l'avait déjà bloqué avant que je l'installe en plein. J'ai donc enlever AVG lancer combix sans connection internet et après j'ai réinstallé AVG.
je voudrais savoir comment déinstaller Internet Explorer qui est contaminé et comment le remettre si c'est possible et si le virus ne va pas suivre.
merci!!!!!!!!!!!!!

moment de grace · Answer

non pas recu

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport  C:\ComboFix.txt

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

cendre38 · Answer

desolé il faut m'expliquer longtemps!!! 
oui j'avais oublié de passer par malekal
je vous le transmets pendant que mon pc veut bien travailler!!!!
http://pjjoint.malekal.com/files.php?id=17381e2cc781214

moment de grace · Answer

expliques moi ce qu'il te fait le pc car à part quelques toolbars à supprimer, il n' y  a rien d'infectieux

cendre38 · Answer

désolé de ne pas avoir répondu avant mais pc bug et après occupation

mon pc me bloque de plus en plus régulièrement quand je veux naviguer entre plusieurs fichiers. Je ne peux les fermer que très rarement avec la croix je dois faire ALT F4 quand je peux les fermer. Cela peux prendre de 3 minutes à très très longtemps des fois je dois carrément éteindre pc. 
Depuis ce matin internet explorer me bloque de suite.
Je passe que par mozilla quand il veut bien fonctionner.
Aujourdh'ui j'ai eu une fenêtre d'ouverte en bas du pc avec 3 petites têtes vertes.
des têtes de sphinx à priori. C'est pas la première fois que je les voie.
C'est très compliqué de me servir du pc dans ses conditions.
Merci encore pour vos efforts et surtout vos compétences.

moment de grace · Answer

1)

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

___________

2)

Télécharge OTL de OLDTimer 

http://oldtimer.geekstogo.com/OTL.scr


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 - Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport 

Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

cendre38 · Answer

bonjour,

voici le rapport de tdsskiller par contre pour le rapport de OTL je n'arrive pas à l'avoir je n'ai pas pu le télécharger sur mon bureau et le fichier de document est vide je ne comprends pas j'ai du faire une erreur quelque part. Est-ce que je peux relancer le scan de OTL?
http://pjjoint.malekal.com/files.php?id=fff7cfc6e791514

merci

cendre38 · Answer

je viens de le retrouver il était dans document récent 
je vous le fait parvenir  
merci
http://pjjoint.malekal.com/files.php?id=49f0bdafa4121411

moment de grace · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 



:OTL 
IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll (Conduit Ltd.)    
IE - HKCU\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll (Conduit Ltd.)    
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_France Customized Web Search"      
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}"    
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2542115&SearchSource=13
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2      
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3      
FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:3.2.5.2    
FF - prefs.js..extensions.enabledItems: {4D9AE42B-F4C0-40e6-AEDB-4EC6E42B77AF}:1.2.1.0     
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SearchTheWeb"      
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "https://fr.search.yahoo.com/web?fr=ytff-"    
FF - prefs.js..browser.startup.homepage: "http://search.iminent.com/..."    
2011/03/22 17:18:00 | 000,000,000 | ---D | M] (Softonic_France Community Toolbar) -- C:\Users\Yvon\AppData\Roaming\mozilla\Firefox\Profiles\1fcs59dq.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}    
2011/03/22 17:18:00 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Yvon\AppData\Roaming\mozilla\Firefox\Profiles\1fcs59dq.default\extensions\engine@conduit.com      
[2011/03/22 17:13:16 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Yvon\AppData\Roaming\mozilla\Firefox\Profiles\1fcs59dq.default\extensions\ffxtlbr@babylon.com      
[2011/03/15 08:48:19 | 000,000,000 | ---D | M] (Gutscheinmieze) -- C:\Users\Yvon\AppData\Roaming\mozilla\Firefox\Profiles\1fcs59dq.default\extensions\gutscheinmieze@synatix-gmbh.de     
2010/12/08 15:52:46 | 000,000,933 | ---- | M] () -- C:\Users\Yvon\AppData\Roaming\Mozilla\Firefox\Profiles\1fcs59dq.default\searchplugins\conduit.xml    
O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll (Babylon BHO)    
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)    
O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll (Conduit Ltd.)    
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)    
O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll (Conduit Ltd.)    
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.    
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll (Babylon Ltd.)    
O3 - HKLM\..\Toolbar: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Yvon\AppData\Roaming\Gutscheinmieze	oolbar.dll (Synatix GmbH)      
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France	bSoft.dll (Conduit Ltd.)    
O3 - HKCU\..\Toolbar\WebBrowser: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Yvon\AppData\Roaming\Gutscheinmieze	oolbar.dll (Synatix GmbH)     
O4 - HKLM\..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)    







:Files 
C:\Program Files\Conduit      
C:\Program Files\ConduitEngine    
C:\Program Files\BabylonToolbar    
C:\ProgramData\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games    
C:\ProgramData\SweetIM    
C:\Program Files\SweetIM    
C:\Users\Yvon\AppData\Roaming\Gutscheinmieze     
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:B623B5B8      
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:2A8A3140      
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:E35A81F4      
@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:D1B5B4F1     


:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

cendre38 · Answer

bonjour,

j'espère que le rapport sera bon car j'ai bataillé pour le récupérer.

je ne sais pas si c'est normal mais pendant la correction le pc s'est coupé d'internet, il a fallu que je force l'arrêt du pc pour pouvoir redémarrer normalement.

j'ai oublié de vous dire que je n'ai plus de téléphone orange depuis hier matin, mon pare-feu a du le mettre en quarantaine.
Que dois- je faire en quand ?

Merci
http://pjjoint.malekal.com/files.php?id=afda727b06111514

moment de grace · Answer

je ne sais pas si c'est normal mais pendant la correction le pc s'est coupé d'internet, il a fallu que je force l'arrêt du pc pour pouvoir redémarrer normalement.  

c'est normal et l'avoir forcé n'est pas forcément une bonne chose, le rapport n'étant pas comme celui espéré 
 

j'ai oublié de vous dire que je n'ai plus de téléphone orange depuis hier matin, mon pare-feu a du le mettre en quarantaine 

fais ceci 

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript 
Copies y ce texte dedans et enregistres le 


DeQuarantine:: 
c:\Qoobox\quarantine\c\program files\Orange\Telephone sur PC\TelephoneSurPCAgent.exe 


Quit:: 


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt 

redemarre le pc et dis moi si c'est bon
CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

cendre38 · Answer

j'ai un cheval de trois en quarantaine sur AVG. Si j'enlève le pare-feu je ne risque rien?
Est-ce que je suis obligé de passer par panneau de configuration pour enlever AVG ou est-ce que je peux le mettre juste en veille un moment?
merci

cendre38 · Answer

je n'arrive pas à faire glisser le dossier dans combix
et je n'arrive pas à aller sur le lien que vous m'avez donner
merci

cendre38 · Answer

oui il est bien sur mon bureau mais je n'arrive pas à l'insérer dans combix 
et le lien mozilla ne veut pas l'ouvrir????

cendre38 · Answer

j'ai recrée le dossier cfscript car combix ne le lisait pas : il marquait que le dossier était incomplet. 
Mais maintenant combix ne démarre même pas il me demande l'autorisation pour ouvrir et il s'arrête presque aussitôt
est-ce que je peux seulement réinstallé le téléphone avec le cd d'orange? ce serai plus simple pour moi si possible

cendre38 · Answer

Je remettrais le téléphone demain avec cd orange
par contre vous m'avez dit que j'avais des toolbars à supprimer donc je vous recontacterais lundi si ça ne vous dérange pas.
vous direz aussi si encore bug pendant le week-end
un GRAND GRAND MERCI pour vos compétences et votre énorme patience 
il y en faut beaucoup avec néophyte comme moi 
très bon week-end à vous.

moment de grace · Answer

côté toolbar, on devrait etre bon 

mais pour voir

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/ 

Clique sur "Parcourir "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message 



@ plus tard

moment de grace · Answer

Computer Name: PC-PORTA-YVON

j'avais pas vu..excellent !


ok

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\AppDataLow\Software\PriceGong]    
M2 - MFEP: prefs.js [Yvon - 1fcs59dq.default\engine@conduit.com] [] Conduit Engine  v3.2.5.2 (.Conduit Ltd..)     
M2 - MFEP: prefs.js [Yvon - 1fcs59dq.default\{4daac69c-cba7-45e2-9bc8-1044483d3352}] [] Softonic_France Community Toolbar v3.2.5.2 (.Conduit Ltd..)     
O4 - HKLM\..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (.not file.)     
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\conduitEngine]     
[HKCU\Software\AppDataLow\Software	oolbar]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\BabylonToolbar]     
[HKCU\Software\SweetIM]     
[HKLM\Software\Conduit]     
[HKLM\Software\SweetIM]     
O69 - SBI: prefs.js [Yvon - 1fcs59dq.default] user_pref("CT2452474.SearchEngine", "Search||http://search.conduit.com/     
O69 - SBI: prefs.js [Yvon - 1fcs59dq.default] user_pref("CT2542115.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115     
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic_France Customized Web Search) - http://search.conduit.com     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\conduitEngine]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKLM\Software\Conduit]     
[HKLM\Software\conduitEngine]     
[HKLM\Software\Classes\Conduit.Engine]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]     
[HKLM\Software\Classes\Toolbar.CT2542115]    




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

______________

2)

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé


ensuite



/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

cendre38 · Answer

je vous joins le rapport fix, car j'ai du faire une boulette il m'a demandé en cours de désinstallation quelque chose et j'ai mis ok. Il a donc décoché des lignes .
ESt-ce que je peux recomencer avec toutes les lignes que vous m'avez transmis ou si je dois laisser comme ça ?
merci
http://pjjoint.malekal.com/files.php?id=80b33e485381213

moment de grace · Answer

non

désinstalle Softonic_France Toolbar

puis GMER

cendre38 · Answer

bonjour,
désolé de n'avoir pas répondu plus tôt mais vraiment besoin de faire une pause.
mon pc déconnait vraiment trop.
Quand je lance gmer et que je lance le scan, je n'ai aucune ligne rouge, de plus le rapport est introuvable.
je ne peux pas l'afficher sur mon bureau.
Mon téléphone n'est toujours pas actif, quand je fais une recherche il marque téléphone orange exe. win32 ???   
que dois-je faire ?
Est-ce que si je reformate mon pc? Je retrouverais ses capacités?
merci

Virus win32!!!!!

45 réponses

Discussions similaires